关于某服与某虾的故事（过一天就删了）

0x00 前言

我是真不想在沉寂了两个月后发这样一篇非技术还略带娱乐的文章，毕竟在上一篇文章的时候就已经被大佬批判过了

确实没什么用，也就20w，没有达到预期的50w说实话我自己也很失望。现在也深陷难产的低谷憋不出什么新花样了，可能这就是江郎才尽吧。现在也失业在家做个废物，可能就一直这样废物下去了。可就在昨天，某服与某虾的事情又吵起来了，当然我知道这不是第一次吵了，只不过之前某服选择了花钱消灾而这次忍无可忍选择了报警。整个事情来龙去脉我大致是知道的，因为在第一次发生的时候我就被叫去帮忙做第三方漏洞技术研判，后续也对这些事情有一些了解。本来这件事吧，大体上与我无关，我可以作为一个吃瓜的一直看着就行了，但无奈这个臭虾一天到晚cue我，本来就我很看不惯他的做法了加上他每天cue我，我就得站起来说一说这个事儿。

0x01 第一次勒索

首先我说一下之前大虾提交的第一个漏洞，一个某设备的后台ssti，这个漏洞大概效果和限制如下：

1. 需要登录管理员后台
2. ssti只能做到类似于ssrf的效果，不能做到rce
3. ssrf不能打localhost只能打非本地地址
4. 该设备管理员本来就有权限给自己开放访问任意ip和端口的账号

按照这个描述，懂一点技术的大概也知道这是个后台的鸡肋洞，在实战上几乎没有什么用但是本着安全和产品优化角度来看也可以认一个后台中低危的漏洞给个几百一两千的奖励，这在深信服src的规则里也有描述，常规来说是这样处理了。但是到大虾这里就不一样了，他非要说自己的漏洞多牛逼多牛逼，非要说管理员后台账号非常容易获取，认为漏洞价值不止两千块，价格谈不拢后就到github上挂起来了。看一下之前GitHub他挂了啥

你有这么多时间扯这些案例怎么不想一想这些案例和你现在提交的本质区别在哪里？利用条件场景完全不是一回事，人家这个场景非常容易实现也确实有利用价值，你提交的是什么？鸡肋中的鸡肋好吗？这放v1我连收都不收。漏洞鸡肋就算了，看看下面你做了啥

这是什么操作？？？漏洞详情做成NFT直接挂在GitHub售卖？还直接说是我服某设备的具体漏洞，你这不是公开售卖漏洞是什么，这不是犯罪是什么？如果所有的白帽子都和你一样，谈不拢价格就跑GitHub上公开售卖然后点操厂家，那还搞毛，大家都勒索去好了。两边通吃对不对？既可以割国外韭菜也可以勒索国内src甚至还能骗star对不对 报警抓你冤吗？一点不冤！

0x02 第二次勒索

你现在排在sxf年度第三，几个洞加一起有六万的奖金，其中这个六万哪里来的你心里也清楚。给了你超出正常范围的奖金本身就是厂家想息事宁人，但是你并没有停手，第二次提交漏洞不通过也是挂GitHub如法炮制，你写了什么你心里清楚，由于内容涉及敏感信息我这边就不发截图了。

这个第二个是不是漏洞本身就有待推敲，据我所知是你通过作弊的方式在自己本地环境做了手脚导致某一段潜在风险代码的条件可以满足（而实际场景下是做不到的，大虾自己也没给出实际利用方式），一个都不能被实际利用的“漏洞”到你这里就可以勒索了。真有你的，要不是厂家觉得这个潜在风险点确实存在，也为了息事宁人才给了你钱，换成我我直接告你勒索了。

0x03 第三次勒索

第三次大家也都看到了我觉得我没必要再发一遍了，同样的GitHub手法，只不过这次厂家忍无可忍报警了，并且报警告的是你第一次勒索公开exp的事情，也不是针对你这个所谓的沙箱绕过的“漏洞”。 

就这个沙箱绕过，我也想吐槽一下，我都已经是超级管理员了，我本来就可以下发任何程序到客户机上进行执行，所谓的沙箱也是针对客户自己的不是针对超管的，有个白名单功能很正常因为管理员维护客户端时候需要有更高的权限。说白了这就是正常功能，因为我是超级管理员！ 

黑客缺的是所谓的沙箱绕过吗？黑客缺的是超级管理员账号密码！

 关于漏洞利用条件和场景限制问题，我从第一次和你正经做技术研判的时候就给你解释过了，你当时连内网和外网都分不清，连前台和后台都分不清。你要是真觉得自己漏洞价值不菲，建议你去提交补天、bugcloud、女娲。你在GitHub拿垃圾洞勒索厂家反复横跳恶心谁呢？

0x04 你所谓的沟通

我也给大家看看你所谓的和厂家沟通是指什么，你提交漏洞的流程大致如此：

1. 告知厂家我挖到了一个超级高危漏洞
2. 厂家问你索要漏洞详情方便定级
3. 你发过去一个本地复现的视频，期间看不到任何详情，然后你要求厂家根据效果定价，你给出的报价是十万
4. 厂家要求你给出详情方便研判
5. 你不给详情，你只是给了一段非常抽象和模糊的危害描述，继续讨价还价
6. 厂家无奈了，看着你的描述以为是很牛逼的rce，所以暂时说可能在两万到五万之类的
7. 你看到拉高了价格后，你磨磨蹭蹭分批发详情过去，就这样讨价还价了半个月
8. 厂家最后拿到完整的详情一看，就是个后台垃圾洞，按规则给钱就是两千块，给你定价两千块
9. 你不服，拿着前期的聊天记录在GitHub作妖
10. 厂家迫于压力只能和你私了

这就是你所谓的和厂家沟通过程，不是勒索是什么？我赞同白帽子拿高危漏洞去和厂家撕逼，不赞同拿着垃圾洞去勒索！但凡你有点安全从业人的技术追求，都应该在技术上有追求而不是在写小作文上下足功夫！

0x05 躺枪

你第一次发GitHub的时候整个事情和我一点关系都没有，可你在GitHub阴阳怪气我蹭我的名气是什么意思？？ 

在你发这个GitHub的时候我甚至都不认识你也不知道你和sxf src之间的事情，我都不想管，你勒索到钱没事你有本事，就算是不公平那也是厂家的问题养虎为患。

但是你没事蹭我干什么？老子招你惹你了？你知不知道一开始多少人以为你是我小号？ 

现在好了，我就跟你杠上了，如果白帽子都跟你这样，技术研判不服，规则不遵守，勒索炒作第一名，那还搞几把安全，做几把白帽子，全去做自媒体不就好了。 

另外你说我割韭菜，我割什么韭菜了？我的知识星球就两百多块钱，总共也就一千多人，一半的人不是朋友就是分享文章免费进的。两年总共赚到十万不到，还发给原创作者奖金，我自己也坚持原创写文章，不说写的多好，就这个质量在中上水平总有吧？你管这个叫割韭菜？

人要摸着良心说话而不是像一条狗一样见人咬人，自己说是漏洞就是漏洞别人说什么都不听。中二病就多吃点牢饭别来做什么狗屁白帽子。

0x06 关于白帽子和src

我也说一下白帽子和src之间我的看法。有不少人平时都挖src，也会说src坑人明明是漏洞给我忽略或者内部已知甚至是白嫖漏洞，时间久了积怨已深。看到有人和src吵架就下意识的站队白帽子这边。这些都是人之常情，但也记住不要被人利用了，不是所有的人都是弱势群体。正常来说在一个大公司的安全团队架构里，src属于安全运营团队而sdl属于应用安全团队，这两个团队的绩效是相互对立的，也就是说src收取的漏洞越多危害越大那么安全运营团队的绩效就越高，而相对的sdl团队的绩效就越低。所以src是有主观动力去帮助白帽子争取利益的，因为白帽子和src的绩效是一致的。那为什么会有src压低价格或者所谓的白嫖漏洞情况呢？主要原因大概有这么几个：

1. 团队本年的安全预算确实超了，不得不采取一些方式进行压价
2. 部分漏洞危害被白帽子夸大了，实际上危害很小或者说站在业务场景的角度来看风险有限
3. 提交的人太多了，过于浅层的漏洞存在高重复撞洞
4. 内部很早就挖到了漏洞，但是由于业务修复缓慢之类的原因提前上线了，但是在排期修复，只不过修的特别慢
5. 很多漏洞比如后台越权，几乎是同源性问题，一个和几十个没有任何本质区别，而且介于后台的性质和场景，部分被认可，部分被忽略很正常
6. 公司安全组织架构问题，没有做到sdl和src的权限分离和绩效对立，导致sdl和src是同一个人在管，那么自然会有很多人情世故故意压价忽略白嫖的情况出现
7. 确实是边缘资产，确实是内部已知，确实是撞洞，确实是第三方资产

真正理解了这些原因后，只要去观察组织的结构就能知道这家src能给多少钱，给不给的公正。另外如果要提交漏洞那么怎么提交会比较划算呢？

1. 鸡肋的不好利用的或者危害小的中低风险漏洞提交src最划算
2. 事件型的漏洞只要你不做黑产，大部分都是提交src最划算
3. 通用型设备0day提交src的话就要看实战价值了，价值越高提交越不划算

说实话，如果一个src给你的感觉实在糟糕，那就直接放弃它，和其扯皮吵架毫无意义。如果你的漏洞是通用0day，直接提交补天、360bugcloud、女娲之类的第三方收武器的平台难道不比src利益最大化吗？那么为什么大虾不提交这些平台却选择去GitHub吵架呢？因为他的漏洞价值太低其他平台压根不收只能用来勒索厂家！

0x07 结语

什么臭鱼烂虾也能自称赛博 

问问自己对行业的技术做了什么贡献 

你不服气就好好学习努力挖出pre-rce让厂家心服口服 

什么时候在安全行业只需要语文学的好就是大佬了？

什么时候搞技术的要用GitHub这个技术分享平台来吵架了勒索了？

赛博？SB！

赶紧写赛博传 

群友等着看连载了

最好把我写成男主然后分配十几个后宫美少女 

我喜欢胸大的

原文始发于微信公众号（赛博回忆录）：关于某服与某虾的故事（过一天就删了）